A
кто то заморочился, на казахском письмо
Size: a a a
2020 June 15
n
Arman
рассылается по корппочте
а можешь сам файлик скинуть? можно в ЛС
U
Arman
кто то заморочился, на казахском письмо
Переводчик видимо
U
Смысл затерялся)
T
Вообще, малварьщики могут заказать перевод
H
это текст с рассылкой по COVID ?
U
Вообще, малварьщики могут заказать перевод
Да, но кажется с этим письмом не заморачивались) Интересно, что делает малварь
U
Arman
рассылается по корппочте
Судя по гуглу, ворует инфу
U
Хм, интересно. Много случаев false-positive с этим "трояном"
T
Может стилер.
T
Обычно VBA скрипт вставляют обфусцированный, который выполняет powershell и качает уже основную малварь. Классический такой случай
T
И они все в основном однотипные
T
это текст с рассылкой по COVID ?
ну
T
Я несколько такой малвари анализировал, но печаль была в том, что сам основной пейлоад уже как правило недоступен, к тому моменту когда малварь уже в публичных репозиториях лежит
H
я думал оно все уже не используется
H
потому что уже много отчетов
T
я думал оно все уже не используется
У нас просто ограничительные меры заново вводятся
T
Они еще активизируются я уверен
F
плюс удачно такую хайповую новость выбрали) и прям четко в срок, у него вчера установили КВИ, сегодня уже рассылка
T
Я несколько такой малвари анализировал, но печаль была в том, что сам основной пейлоад уже как правило недоступен, к тому моменту когда малварь уже в публичных репозиториях лежит
А основную малварь обычно располагают на взломанных сайтах. Вот один семпл, который я когдат осмотрел, распостранялся через кучу взломанных сайтов отелей